基于角色的细粒度访问控制系统的研究与实现.pdfVIP

2001 年 4 月 北 京 航 空航 天 大 学 学 报 ApriI 2001 第 卷 第 期 27 2 JOurnaI Of Beijing University Of AerOnautics and AstrOnautics VOI .27 NO .2 基于角色的细粒度访问控制系统的研究与实现 杨亚平 李伟琴 刘怀宇 （北京航空航天大学 计算机科学与工程系） 摘 要：首先介绍了基于角色的访问控制理论，讨论了其主要特征和优势， 然后给出了一个以该理论为基础的访问控制系统的设计框架及实现技术. 该系统可 以为 、 、 提供访问控制服务 系统的总体结构分为：访问控制服务 FTP WWW TELNET . 器、访问控制请求过滤器、角色及授权管理服务器，它们各司其职，协同服务，共同构 成完整的访问控制系统. 关 键 词：网络；安全；控制；访问控制；角色继承 中图分类号： TP 309 .2 文献标识码： 文 章编 号： （ ） A 1001-5965 2001 02-0178-04 访问控制就是通过某种途径，显式地准许或 拥有的权限以及可执行的操作. RBAC 中引入了 限制访问能力及范围的一种方法 通过访问控制 “角色继承”的概念，即有些角色有自己的属性，但 . 服务，可以限制对关键资源的访问，防止非法用户 可能还继承其他角色的属性和权限. 角色继承可 的侵入或者因合法用户的不慎操作所造成的破 以用祖先关系来表示，父角色包含子角色的属性 和权限 在给角色分配权限时，要遵循最小权限原 坏.传统的访问控制技术主要有自主型访问控制 . 和强制型访问控制 种 年代初出现了一种基 则，该角色对应的用户的权限不能超过他执行工 2 . 90 于角色的访问控制技术 （ 作时所需的权限. RBAC ROIe Based Access ［］ 1 1 . 2 RBAC 的优势 COntrOI ） ，并逐渐得到广泛的应用. 根据控制对象的粗细程度，访问控制可分为 RBAC 的最大优势在于它对授权管理的支 粗粒度和细粒度 种 通常把只控制到主机一级 持. 通常的访问控制实现方法，将用户与访问权限 2 . 的称为粗粒度的访问控制，而把控制细到目录、文 直接相联系，当组织内人员新增或有人离开时，或 件、 页面一级的称为细粒度访问控制 本文介 者某个用户的职能发生变化时，需要进行大量的 Web . 绍了基于角色的访问控制理论，设计并实现了一 授权更改工作. 而在RBAC 中，对用户的访问授权 个以该理论为基础的细粒度的访问控制系统，为 转变为对角色的授权，然后再将用户与特定的角 、 、 提供访问控制服务 色联系起来. 一旦一个RBAC 系统建立起来以后， FTP WWW TELNET .